下一代的HTTP 2.0协议将要求HTTPS加密

下一代的HTTP 2.0协议将要求HTTPS加密

 以纯文本格式发送数据只是不削减它的丰富的黑客攻击和质量元数据收集的时代。有些网站上的大腕- Fac […]

2013-11-30

 以纯文本格式发送数据只是不削减它的丰富的黑客攻击和质量元数据收集的时代。有些网站上的大腕- Facebook,谷歌,Twitter等-已经接受默认的加密来保护您的珍贵资料,以及下一代版本的关键HTTP协议将只工作HTTPS来保护的URL 。
    马克诺丁汉的椅子HTTPbis工作组开发的HTTP 2.0协议的Internet工程任务组,在早期所做的周三宣布一个万维网联盟的邮件列表。
    “我相信我们能够满足在网络上越来越多地使用TLS [传输层安全性]的目标的最佳途径是鼓励它的使用只使用HTTP/2.0以https://开头的URI,”诺丁汉写道。
    铁圈为了向后兼容跳跃
    非加密的HTTP URL将继续使用当前的HTTP协议,虽然英国诺丁汉说在HTTP 2.0协议仍然需要正式定义如何协议处理未加密的URL。
    这是因为“HTTP 2.0要求HTTPS”行进一步回落成为一个模糊的,但OM诺丁汉的公告。
    “需要明确的是 – 我们仍然会定义如何使用HTTP/2.0以http:// URI的,因为在某些用例,实施者可以作出明智的选择使用的协议没有加密的,”他写道。“然而,对于常见的情况 – 浏览打开的Web – you'll需要使用https://开头的URI,如果你想使用HTTP的最新版本。”
    迈克尔甜,高级印刷工程师,苹果和IEEE的打印机工作组主席,想知道这些豁免可能妨碍该提案的整体效益。
    “……老实说,我没有看到这个工作组如何能真正执行/授权https://开头,并且仍然允许包含http:// URI的,”甜蜜 写道。“只要未加密的URI是由HTTP/2.0的支持,最好的你能做的就是让安全建议,因为TLS不需要打开的网页。”
    虽然强制HTTPS对HTTP 2.0必将推动普适监控的时代更广泛地使用加密,它不会神奇地让所有上网的流量本质上窥探型,它不会是一个完全无痛部署。(这里的希望的SSL证书颁发机构已经准备好为新客户抢!)
    也不是建议继续受到挑战。
    “我坚信对于未加密的HTTP/2.0的支持仍然是必要的,有益的,尤其是当你在一个已经”安全“通道路由其移交给一个资源受限的设备,”甜蜜写道:作为他的回应诺丁汉的一部分。“……我也相信,HTTP/1.x已经因为执行其易用性(和自由)如此成功,但[我认为]限制[HTTP 2.0的]使用https://开头只会限制它的使用/部署到网站/供应商就可以提供部署和防止HTTP/2.0从长远来看取代HTTP/1.1“。